Avis 20211948 Séance du 15/04/2021

Monsieur X a saisi la Commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 21 décembre 2020, à la suite du refus opposé par le ministre des solidarités et de la santé à sa demande de communication de l'analyse d'impact sur la protection des données (AIPD /PIA) de l'application « StopCovid ». En l'absence de réponse du ministre des solidarités et de la santé à la date de sa séance, la commission rappelle que l’article 35 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit règlement général pour la protection des données (RGPD) prévoit l’obligation pour un responsable de traitement d’effectuer, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel, « lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ». L’article 36 du même règlement définit les cas dans lesquels le responsable du traitement est tenu de consulter l’autorité de contrôle et de lui transmettre l’analyse effectuée. L’article 90 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dispose, pour sa part, que : « Si le traitement est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques, notamment parce qu'il porte sur des données mentionnées au I de l'article 6, (données sensibles) le responsable de traitement effectue une analyse d'impact relative à la protection des données à caractère personnel. / Si le traitement est mis en œuvre pour le compte de l’État, cette analyse d'impact est adressée à la Commission nationale de l'informatique et des libertés avec la demande d'avis prévue à l'article 33. / Dans les autres cas, le responsable de traitement ou son sous-traitant consulte la Commission nationale de l'informatique et des libertés préalablement à la mise en œuvre du traitement de données à caractère personnel, qui se prononce également dans les délais prévus à l'article 34 : / 1° Soit lorsque l'analyse d'impact relative à la protection des données indique que le traitement présenterait un risque élevé si le responsable de traitement ne prenait pas de mesures pour atténuer le risque ; / 2° Soit lorsque le type de traitement, en particulier en raison de l'utilisation de nouveaux mécanismes, technologies ou procédures, présente des risques élevés pour les libertés et les droits des personnes concernées. » La commission a déduit de ces dispositions qu’une analyse d’impact relative à la protection des données, portant sur un traitement mis en œuvre par ou pour le compte de l’une des personnes visées à l’article L300-2 du code des relations entre le public et l’administration, constituait un document administratif au sens de cet article, communicable par cette autorité administrative à toute personne qui en fait la demande sur le fondement du code des relations entre le public et l’administration en application de l’article L311-1 du code des relations entre le public et l’administration, sous les réserves prévues par les articles L311-5 et L311-6 du même code (avis 20183041 du 8 novembre 2018). La commission, qui n'a pu prendre connaissance du document sollicité, émet, sous ces réserves, un avis favorable à la demande.